Čo je to bezpečná enkláva spoločnosti Apple a ako chráni svoj iPhone alebo Mac?
iPhony a počítače Mac s dotykovým ID alebo identifikátorom tváre používajú na spracovanie biometrických informácií samostatný procesor. Nazýva sa to Secure Enclave, je to v podstate celý počítač pre seba a ponúka množstvo bezpečnostných funkcií.
Secure Enclave sa spúšťa oddelene od zvyšku vášho zariadenia. Spravuje vlastný mikrokernel, ktorý nie je priamo prístupný vášmu operačným systémom ani ľubovoľným programom bežiacim vo vašom prístroji. K dispozícii je 4MB pamäťového úložného priestoru, ktorý sa používa výlučne na ukladanie súkromných kľúčov s 256-bitovou eliptickou krivkou. Tieto klávesy sú jedinečné pre vaše zariadenie a nie sú nikdy synchronizované s cloudom, ani priamo viditeľné v primárnom operačnom systéme vášho zariadenia. Namiesto toho systém vyzve Secure Enclave na dešifrovanie informácií pomocou klávesov.
Prečo existuje bezpečná enkláva??
Služba Secure Enclave veľmi sťažuje hackerov dešifrovanie citlivých informácií bez fyzického prístupu k vášmu zariadeniu. Vzhľadom k tomu, že Secure Enclave je samostatný systém a pretože váš primárny operačný systém nikdy nevidí dešifrovacie kľúče, je neuveriteľne ťažké dešifrovať vaše údaje bez riadnej autorizácie.
Stojí za zmienku, že vaše biometrické informácie samotné nie sú uložené v Secure Enclave; 4MB nie je dostatok úložného priestoru pre všetky tieto údaje. Namiesto toho Enclave ukladá šifrovacie kľúče, ktoré sa používajú na uzamknutie biometrických údajov.
Programy tretích strán môžu tiež vytvárať a ukladať kľúče v enkláve na uzamknutie dát, ale aplikácií nikdy nemajú prístup k samotným kľúcam. Aplikácie namiesto toho žiadajú, aby kód Secure Enclave zašifroval a dešifroval údaje. To znamená, že akékoľvek informácie šifrované pomocou Enclave je neuveriteľne ťažké dešifrovať na akomkoľvek inom zariadení.
Citovať dokumentáciu spoločnosti Apple pre vývojárov:
Keď uložíte súkromný kľúč do Secure Enclave, v skutočnosti nikdy nedodržíte kľúč, čo sťažuje jeho zhoršenie. Namiesto toho poučíte Secure Enclave, aby ste vytvorili kľúč, bezpečne ho uložili a vykonali s ním operácie. Dostanete len výstup z týchto operácií, ako sú šifrované dáta alebo výsledok overenia kryptografického podpisu.
Treba tiež poznamenať, že služba Secure Enclave nemôže importovať kľúče od iných zariadení: je určená výlučne na lokálne vytváranie a používanie kľúčov. To sťažuje dešifrovanie informácií na ľubovoľnom zariadení, ale na zariadení, na ktorom bol vytvorený.
Počkajte, nebolo to Bezpečná enkláva napadnutá?
Secure Enclave je komplikované nastavenie a robí život veľmi ťažké pre hackerov. Ale neexistuje žiadna taká dokonalá bezpečnosť a je rozumné predpokladať, že niekto to nakoniec kompromisuje.
V lete roku 2017 nadšenci hackeri odhalili, že sa im podarilo dešifrovať firmvér Secure Enclave a potenciálne im poskytnúť prehľad o tom, ako enkláva funguje. Sme si istí, že Apple uprednostňuje, aby sa tento únik nestal, ale stojí za zmienku, že hackeri ešte nenašli spôsob, ako načítať šifrovacie kľúče uložené v enkláve: deklarovali iba samotný firmware.
Vyčistite enklávu pred predajom počítača Mac
Kľúče v jednotke Secure Enclave na vašom iPhone sú vymazané, keď vykonáte obnovenie z výroby. Teoreticky by sa mali vyriešiť aj pri preinštalovaní systému MacOS, ale spoločnosť Apple odporúča vyčistiť bezpečný enkláv na vašom počítači Mac, ak ste použili niečo iné ako oficiálny inštalátor systému MacOS.